Siirry sisältöön

Vakoileeko Huawei?

Kiinalaisyritystä ei rajoiteta Suomessa, vaikka lännessä moni epäilee telejättiä.

Teksti Laura Myllymäki & Kaarina Vainio

Kuvat Pirita Tolvanen

Tammikuussa 2018 saksalaisen Duisburgin kaupungin pormestari Sören Link ja kiinalaisen telejätti Huawein talousjohtaja Wang Yonggang allekirjoittivat yhteisymmärryspöytäkirjan. Sen perimmäinen tarkoitus oli alkaa työstää Duisburgista »innovatiivista ja digitalisoitua länsieurooppalaista mallikaupunkia».

Huaweilla oli suuria suunnitelmia. Yhtiön kaavailuissa Duisburgiin rakennettaisiin innovaatiokeskus, langatonta verkkoa laajennettaisiin ja kouluihin rakennettaisiin älyluokkia. Kaupunkiin voisi pystyttää älykkäitä katulamppuja ja jakeluverkkoja. Kaupungin asukkaille tuotettaisiin hallinnon palveluja pilvipalveluissa, ja yhtiö tarjoaisi ratkaisuja 5G-verkon rakentamisessa.

»Huawei muodostaa mittaamattoman turvallisuusriskin Duisburgille ja sen asukkaille. Miksi kaupunki ottaa tällaisen riskin?» kysyi tuoreltaan Merics-instituutin Kiina-tutkija Jan Weidenfeld sanomalehti Westdeutsche Allgemeine Zeitungissa.

Duisburg on yksi pisara meressä, kun katsoo kokonaiskuvaa kiinalaisten teknologiayhtiöiden maailmanvalloituksesta. Australian Strategic Policy -instituutin laskelmien mukaan kiinalaisilla teknologiayhtiöillä on noin 80 älykaupunkihanketta ympäri maailman. Suunnitelmia on vieläkin enemmän. Euroopan lisäksi projekteja on aloitettu useissa autoritaarisissa Afrikan ja Lähi-idän maissa, kuten Saudi-Arabiassa, Pakistanissa ja Etiopiassa.

Moniin kaupunkeihin kaavaillaan valvontakameroita sekä kasvojen- ja rekisterikilpien tunnistustekniikkaa, mitä perustellaan kaupunkien turvallisuuden parantamisella.

»Kiina näkee digitaalisen infrastruktuurin osana laajempaa fyysistä infrastruktuuria», sanoo yhdysvaltalainen Kiinan ja kyberturvallisuuden asiantuntija Adam Segal. Hän toimii johtajana vaikutusvaltaisessa Council on Foreign Relations -tutkimuslaitoksessa.

Kiinalainen verkkoyhtiö ZTE rakentaa kuituyhteyksiä ja mobiiliverkkoja yli 50 maahan, kuten Etiopiaan, Nigeriaan ja Turkkiin, jotka ovat osa Kiinan uutta silkkitiehanketta. Segal ei osaa sanoa, kuinka tiiviisti eri alojen kiinalaiset yhtiöt tekevät lopulta yhteistyötä, mutta ainakin ZTE ja Huawei ovat mainostaneet olevansa mukana silkkitiehankkeessa.

Vuonna 2015 Kiina nimesi maan sotilasstrategiaa koskevassa valkoisessa kirjassa kyberkyvykkyyksien kehittämisen yhdeksi kriittiseksi toimialueeksi. Taustalla on ajatus, että tulevaisuuden sodat käytäisiin tietoverkoissa. Samana vuonna Kiina käynnisti silkkitiehankkeen, johon digitaalinen painopiste kuuluu kiinteästi.

Kesäkuussa 2017 Kiinassa tuli voimaan uusi tiedustelulaki, joka velvoittaa »kaikki organisaatiot ja kansalaiset» pitämään tiedustelutyön salaisena sekä antamaan tukea ja apua Kiinan tiedusteluviranomaisille myös ulkomailla. Laki on yksi syy siihen, että Yhdysvallat ja monet muut länsimaat ovat suhtautuneet penseästi Huaweihin.

Henkilö­tiedustelusta on tulossa kallista ja vanhentunutta, teknisestä taidosta ja salaustekniikasta korvaamatonta.

 

Tammikuussa Yhdysvallat nosti Huaweita vastaan syytteitä muun muassa teollisuus- ja tekijänoikeuksien varastamisesta. Toukokuussa se kielsi amerikkalaisia yrityksiä myymästä tuotteitaan Huaweille ja vaati liittolaisiaan asettamaan yhtiölle porttikiellon.

Sittemmin vientikieltoa lykättiin, mutta tähän mennessä Yhdysvaltojen lisäksi Australia, Japani ja Uusi-Seelanti ovat kieltäneet 5G-verkkojen rakentamisen Huawein laitteistoilla. Yhdysvaltain viranomaiset katsovat, että Huaweilla ja ZTE:llä on kyky globaaliin verkkovakoiluun. Yhdysvallat myös epäilee, että Kiinan tiedustelu voisi hyödyntää yritysten rakentamia 5G-mobiiliverkkoja. Todisteita syytöksille ei ole kuitenkaan esitetty.

»En usko, että Huaweilta löytyy koskaan savuavaa asetta», Segal sanoo. Hänen mukaansa kyse on suoria vakoilutodisteita laajemmasta asiasta.

Yhdysvalloissa katsotaan, että 5G-palveluntarjoajan on oltava luotettava, koska verkkoon voidaan liittää monia haavoittuvia järjestelmiä aina robottiautoista terveydenhuollon, energianjakelun ja pankkitoiminnan hallintajärjestelmiin.

»Ja kiinalaisiin ei voi luottaa», Segal kuvaa ajattelua kotimaassaan.

Huawei ei ole Kiinan valtion omistuksessa, mutta sillä on läheiset suhteet valtioon. Lisäksi Kiina on tukenut Huaweita taloudellisesti, ja yhtiöiden liiketoiminta on linjassa Kiinan strategisten tavoitteiden kanssa ulkomailla.

Huawei on kieltänyt järjestelmällisesti kaikki epäilykset vakoilusta.

5G-teknologia ei ole paljon nykyistä verkkotekniikkaa erikoisempaa, mutta se tarjoaa huomattavan nopeaa tiedonsiirtoa, ja verkon toteutuksessa voidaan hyödyntää pilvipalveluita. Ne taas lisäävät haavoittuvuuksia ja riskejä.

Segal arvioi, että yhä suurempi osa Kiinan tiedustelusta keskittyy verkkoon. Perinteiseen tiedusteluun verrattuna kybervakoilu mahdollistaa pääsyn valtavien tietomäärien lähteille kustannustehokkaasti. Kohteita voivat olla esimerkiksi yritysten tietokannat, joita voidaan hyödyntää tai manipuloida.

»Henkilötiedustelu voi olla hidasta eikä välttämättä tuota hyvää lopputulosta», Segal perustelee.

Kiinan kybertoiminta ja -vakoilu on kohdistunut aineettomaan omaisuuteen ja yrityssalaisuuksien varastamiseen sekä toisinajattelijoihin ja ihmisoikeusaktivisteihin. Huhtikuussa ihmisoikeusjärjestö Amnestyn Hongkongin osasto ilmoitti siihen kohdistuneesta kyberhyökkäyksestä, jonka jäljet johtavat Kiinaan.

Viime vuosien tunnetuin esimerkki Kiinan vakoilusta on niin sanottu Cloud Hopper -kampanja, joka kohdistui maailman suurimpiin teknologiapalveluiden tarjoajiin ja niiden asiakkaisiin. Kiinalaiset pääsivät muun muassa IBM:n, Hewlet Packardin ja Fujitsun järjestelmiin ja pilvipalveluihin. Niistä vakoojat pääsivät »hyppäämään» edelleen yhtiöiden asiakkaiden järjestelmiin. Kohteiden joukossa ovat ruotsalainen verkkoyhtiö Ericsson ja suomalainen konepajayhtiö Valmet.

 

Muutakin näyttöä Kiinan tiedustelusta on. Esimerkistä käy pakolaisvakoilutapaus, joka koskettaa myös Suomea. Ruotsalainen käräjäoikeus tuomitsi kiinalaismiehen vankeuteen luvattomasta henkilöön kohdistuvasta tiedustelutoiminnasta kesällä 2018. Hovioikeus antoi tapauksessa tuomionsa tänä keväänä. Toisin kuin Suomessa, Ruotsissa pakolaisvakoilu on kriminalisoitu.

Kiinalaismies oli hankkinut henkilökohtaisia tietoja Ruotsissa ja muualla Kiinan ulkopuolella asuvista ja työskentelevistä tiibetiläisistä. Tietoja oli kerätty tiibetiläisten asuinpaikasta, perhesuhteista ja poliittisesta aktiivisuudesta. Mies oli toimittanut tietoja edelleen Kiinan tiedustelupalvelun edustajalle Puolaan ja saanut rahallisen korvauksen toiminnastaan. Alun perin mies oli saapunut Ruotsiin pakolaisena.

Sama mies matkusti joitakin kertoja Ruotsista Suomeen vuosina 2013–2015. Suomessa hän tapasi ihmisiä, joilla oli yhteyksiä Kiinan siivilitiedustelupalveluna tunnettuun Kiinan kansallisen turvallisuuden ministeriöön MSS:ään. Tuomion mukaan mies väitti, ettei tiennyt tavanneensa Suomessa Kiinan tiedustelupalvelun edustajaa. Yksityiskohdat matkoista oikeus on määrännyt salaisiksi.

Tuomiossa avataan myös MSS:n toimintaa. Se on siviilitiedustelupalvelu, jonka tehtäviin kuuluu tiedonhankinta ulkomailla. MSS kartoittaa ja pyrkii kontrolloimaan poliittista oppositiota ulkomailla. Erityisen huomion kohteena ovat demokratia-aktivistit, Falun Gongin harjoittajat, Xinjiangin autonomisen alueen ja Tiibetin itsenäisyyden puolestapuhujat sekä Taiwanin itsenäisyyden kannattajat.

Ulkomailla tiedustelu-upseerit hankkivat tietoa niistä opposition edustajista – esimerkiksi Ruotsissa asuvista tiibetiläisistä – jotka sen mielestä ovat uhka vakaudelle. Tiedoilla voidaan uhkailla ja kiristää Ruotsissa asuvia opposition edustajia tai heidän sukulaisiaan Tiibetissä.

Tapoja kerätä tietoja on monia. Tiedustelu-upseerit voivat esiintyä peitetehtävissä diplomaatteina tai toimittajina. He voivat rekrytoida agentteja tai lähteitä, jotka pääsevät paikkoihin, jonne tiedusteluviranomaiset eivät pääse. Tiedusteluviranomainen tapaa lähteensä usein kolmannessa maassa. Lähde tai agentti palkitaan rahallisella korvauksella tai muulla lahjalla.

MSS:n toimialaan kuuluvat myös vastavakoilu ja kyberurkinta. Le Figaro kertoi viime syksynä Kiinan laajamittaisesta vakoilusta Ranskassa. Sosiaalisen median, eritoten Linkedinin, kautta oli lähetetty yhteydenottoja yli 4 000 työntekijälle tai johtajalle valtion palveluksessa ja yksityisellä sektorilla.

Yhdysvalloissa entinen CIA:n virkailija Kevin Mallory tuomittiin toukokuussa 20 vuodeksi vankeuteen vakoilusta Kiinan hyväksi. Mallory myi Kiinan tiedusteluviranomaiselle salaista turvallisuutta koskevaa tietoa. Alun perin kiinalaiset olivat Malloryyn yhteydessä juuri Linkedinin välityksellä.

Suomessa Linkedinissä tapahtuvaa Kiinan vakoilua on tutkinut Ulkopoliittisen instituutin ohjelmajohtaja Mika Aaltola. Tutkimusaineistossaan Aaltola viittaa suomalaisiin kansainvälisten suhteiden asiantuntijoihin, joita oli lähestytty Linkedinin välityksellä.

Verkkovakoilijat kielivät laajemmasta muutoksesta tiedustelumaailmassa. Henkilötiedustelusta on tulossa kallista ja vanhentunutta, teknisestä taidosta ja salaustekniikasta puolestaan korvaamatonta, kirjoittaa turvallisuuspolitiikkaan erikoistunut toimittaja Edward Lucas Foreign Policy -lehdessä.

Hän huomauttaa, että peitehenkilöllisyys ei enää ole välttämättä paras tapa vakoilla. Esimerkiksi Kiinan laajasti hyödyntämän kasvojentunnistusteknologian avulla henkilöllisyys voidaan selvittää minuuteissa viranomaisten hallussa olevasta laajasta kasvodatasta ja julkisista lähteistä ristiin tarkistamalla.

 

Talousuutissivusto Bloombergin mukaan EU-maista ainakin Belgia, Tšekki, Tanska, Norja, Puola, Ruotsi ja Britannia vielä empivät, miten Huaweihin pitäisi suhtautua.

Britanniassa viranomaiset tiedostavat verkkoyhtiö ZTE:hen ja Huaweihin liittyvät riskit. Maan digitaali-, kulttuuri-, media- ja urheiluministeriö antoi parlamentille joulukuussa 2018 raportin, jonka mukaan suurin uhka Britannian tietoliikenteeseen kohdistuu muista valtioista. Näitä ovat Venäjä, Kiina ja Pohjois-Korea sekä erinäiset iranilaiset toimijat.

Joulukuussa 2018 Britannia nimesi Kiinan ensimmäistä kertaa julkisesti kyberiskujen tekijäksi. Britannian kyberturvallisuuskeskuksen mukaan MSS:n puolesta toimiva APT10-ryhmä yritti hankkia liikesalaisuuksia ja muuta aineetonta omaisuutta Euroopassa, Aasiassa ja Yhdysvalloissa. Ryhmä liittyy myös Cloud Hopper -vakoilutapaukseen.

Huawein ympärillä käydyssä keskustelussa on usein kysytty, voisiko jokin toimija asentaa laitteistoihin ja ohjelmistoihin vakoilun mahdollistavia takaportteja. Britannian kyberturvallisuuskeskus kuitenkin arvioi, ettei takaporttien asentaminen takaa ulkoisille toimijoille helpointa eikä tehokkainta pääsyä tietoihin.

Katseet pitäisi keskuksen mukaan suunnata sinne, missä ja kuka tietoverkkoja hallinnoi. Esimerkiksi teleoperaattori voi ulkoistaa verkon hallinnan tai antaa etähallintaoikeuksia laitetoimittajille, tytäryhtiöilleen tai alihankkijoilleen, jopa ulkomaille asti.

Tähän sisältyy riskejä, koska etäyhteyksillä voidaan aiheuttaa häiriöitä tai kerätä massadataa. Brittiministeriön raportin mukaan tietoliikenneyhteyksien rakentamisessa olisi syytä käyttää hajautetusti mahdollisimman monia eri laitetoimittajia.

»Jos olisin Kiina Helsingissä, olisin kiinnostunut siitä, mitä Nokia suunnittelee 5G:n suhteen», sanoo yhdysvaltalainen Christopher Kojm, joka työskenteli Yhdysvaltain kansallisen turvallisuusneuvoston puheenjohtajana vuosina 2009–2014. Hän vieraili kesällä tutkijana Ulkopoliittisessa instituutissa.

»Yrittäisin ottaa selvää myös siitä, mitä on meneillään hävittäjähankinnassa», Kojm lisää.
Kiina voisi yrittää päästä Suomessa laajemminkin kärryille maanpuolustuksen suunnitelmista. »Ei siksi, että se olisi Kiinalle kiinnostavaa tietoa, vaan siksi, että siitä voisi saada vaihdossa jotain Venäjältä.»

Kojmin mukaan tiedustelupalvelut hyödyntävät tyypillisesti niin ystävyys- ja kulttuurivaihtojärjestöjä kuin akateemisia vaihto-ohjelmia. Myös kiinalaisten tiedotusvälineiden toimittajat lukeutuvat tähän joukkoon.

Suojelupoliisista ei haluttu kommentoida Kojmin arvioita Ulkopolitiikka-lehdelle. Tuoreimmassa vuosikirjassaan Supo muotoilee, että »Suomi kiinnostaa erityisesti Venäjän ja Kiinan tiedustelupalveluita.»

Puolet Suomen pinta-alasta kattavaa verkkoa hallinnoidaan Romaniassa.

 

Suomi ei ole kieltänyt Huawein tai ZTE:n toimintaa eikä asettanut niille erillisiä rajoituksia.
Myöskään nyt tehtävässä viranomaisverkon uudistuksessa kiinalaisille yhtiöille ei ole asetettu mitään rajoitteita, kertoo valtion Erillisverkot-yhtiön toimitusjohtaja Timo Lehtimäki. Muun muassa rajavartiolaitoksen ja poliisin käyttämä Virve-verkko toteutetaan yhdessä kaupallisten toimijoiden kanssa.

»Suomella ei ole ollut tapana nimetä lainsäädännössään yksittäisiä yrityksiä. Olemme oikeusvaltio ja lähdemme siitä, että kaikille teleoperaattoreille ja laitevalmistajille on yhtenäiset tietoturvavaatimukset. Kriteerit pitää asettaa mahdollisimman korkealle», sanoo ylijohtaja Laura Vilkkonen liikenne-ja viestintäministeriöstä.

Euroopan komissio on kerännyt EU-mailta riskiarviot 5G-verkkojen tietoturvasta. Suomessa raportti on valmisteltu neljän ministeriön sekä keskusrikospoliisin ja Supon yhteistyönä. Komissio tekee jäsenmaille yhteenvedon ja mahdollisesti tekniikkaan liittyviä suosituksia vuoden loppuun mennessä. Vilkkonen arvioi, että tämä määrittelee 5G:n tulevaisuuden Euroopassa.

DNA:n ja Telian yhteinen verkkoyhtiö Suomen yhteisverkko on rakennuttanut 4G-verkkoaan Huawein tukiasemilla Itä- ja Pohjois-Suomessa. Puolet Suomen pinta-alasta kattavaa verkkoa hallinnoidaan Romaniassa. Elisalla on 5G-verkko Tampereella, Jyväskylässä ja Turussa sekä pilottiverkko Helsingissä. Ainakin Tampereella ja Turussa on Huawein laitteistoa.

Kysyttäessä Elisa ei halua kertoa, missä kaupungeissa yhtiöllä on Huawein, Nokian, tai Ericssonin tekniikkaa.

»Virallinen viesti on, että tehdään kaikkien kolmen kanssa», sanoo yhtiön tuotannosta vastaava johtaja Vesa-Pekka Nikula.

Nikulan mukaan yhtiö ei tee Huawein kohdalla mitään erityisiä turvallisuusnäkökohtien arviointeja. Elisa huolehtii turvallisuudesta operoimalla verkkonsa itse.

Huawein kehitys mobiiliverkkoteknologiassa on ollut kilpailijoita nopeampaa. Kymmenessä vuodessa se on ohittanut Nokian ja Ericssonin. Se tarjoaa edistyksellisempää teknologiaa ja on vähemmän halukas yhteistyöhön muiden alan toimijoiden kanssa, esimerkiksi verkkojen yhteensovittamisessa.

Älykaupunkihankkeet leviävät myös Suomeen. Matkapuhelintuotannosta tunnettu Salo allekirjoitti viime vuonna Huawein kanssa yhteisymmärryspöytäkirjan Duisburgin tavoin. Kaupunginjohtajan mukaan tulevaisuuden kaupunkien ainoa vaihtoehto on tähdätä älykaupungeiksi.

Myös Turussa on aloitettu älykaupunkihanke Elisan kanssa. Kokeiluja on tehty jo vanhuspalveluissa. Kehitysjohtaja Rami Savila sanoo, että 5G tulee osaksi kaupunki-infrastruktuuria ja vaatii kaupungilta toimintamallien muuttamista. Verkon turvallisuus on Savilan mukaan Elisan vastuulla.

»Tunnistamme maailman tilanteen, mutta kaupungissa ei keskitytä ulkopolitiikkaan, vaan siihen, että kaupunkilaisilla on hyvä elää», hän toteaa.

Oikaisu: Juttua on korjattu 18.9. klo 13.10. Alun perin jutussa väitettiin virheellisesti, että DNA:n ja Telian yhteinen verkkoyhtiö Suomen yhteisverkko olisi rakennuttanut 5G-verkkoaan Huawein tukiasemilla Itä- ja Pohjois-Suomessa. Suomen yhteisverkko on rakennuttanut Huawein laitteistolla toistaiseksi 4G-verkkoaan.